Acceptable Use Policy (AUP)
Esta política define usos proibidos da Plataforma Lastreo. Violação grave permite a suspensão imediata da conta e rescisão do contrato sem reembolso, conforme cláusula 9 dos Termos de Uso.
1. Proibições clínicas
- Diagnóstico ou prescrição autônomos por IA sem supervisão de médico verificado. A camada de IA do Lastreo é assistencial, não substitutiva — os prompts internos e a UI devem deixar isso explícito ao paciente.
- Falsificação de credenciais médicas ou uso de verificação prata / ouro com documentos adulterados. A verificação ICP-Brasil é checada via AR-CFM e tentativas de fraude são reportadas ao CFM.
- Uso em emergência médica como canal primário. A Plataforma explicita que pacientes em emergência devem buscar SAMU 192 / pronto-socorro. O Cliente deve manter essa orientação no produto.
2. Proibições de dados
- Comercialização de dados de paciente: vender, alugar, licenciar ou compartilhar dados pessoais ou de saúde para fins publicitários ou de terceiros sem base legal explícita.
- Coleta de menores sem autorização: pacientes menores de 18 anos exigem consentimento expresso dos pais ou responsáveis (LGPD Art. 14). Cliente garante esse fluxo no produto.
- Cross-tenant exfiltration: tentativas deliberadas de acessar
dados de pacientes de outro
ClientApplicationsão tratadas como incidente de segurança (LGPD Art. 48) — comunicação ao titular afetado em até 72h.
3. Proibições técnicas
- Scraping ou load testing não autorizado: enviar mais de 60 requisições por minuto ao mesmo endpoint sem aviso prévio. Para testes de carga, há o ambiente sandbox.
- Engenharia reversa da Plataforma com fins competitivos (replicação, clonagem de UX, etc.).
- Bypass de SLA: contagem artificial de incidentes para acionar crédito de SLA.
- Compartilhamento de credenciais: API keys e tokens JWT são pessoais e intransferíveis. Cada integração ou ambiente deve usar credenciais próprias.
- BYOK com modelo que treina com input: ao plugar provedor de IA
próprio (Bring Your Own Key), o Cliente é responsável por garantir que o modelo
não treine com os dados clínicos enviados via Plataforma. Em provedores que
oferecem essa opção (e.g. OpenAI
data retention zero, Anthropicdata privacy enterprise, Mistralopt-out training), o Cliente deve ativar a configuração antes de ligar a integração. Provedores que não oferecem essa opção (e.g. modelos consumer-tier sem garantia de não-treinamento) são proibidos para tratamento de Dados Pessoais sensíveis de saúde.
4. Proibições legais e éticas
- Uso para fins ilícitos (fraude ao SUS, plano de saúde, seguradora, etc.).
- Discriminação baseada em raça, religião, orientação sexual, classe — incluindo em interfaces ou prompts do Cliente.
- Promoção de pseudo-terapias sem evidência científica, especialmente no contexto de doenças graves.
- Coleta de consentimento "agrupado" ou "obscuro" violando LGPD Art. 8º (consentimento livre, informado, inequívoco).
5. Reporte de violação
Qualquer pessoa pode reportar suspeita de violação desta AUP enviando email para [email protected]. Investigamos em até 5 dias úteis. Whistleblowers não têm sua identidade revelada ao Cliente investigado.
6. Consequências
Violações graves (proibições clínicas, de dados ou ilícitas) permitem:
- Suspensão imediata do
ClientApplication(todas as API keys revogadas) - Notificação aos titulares afetados conforme LGPD Art. 48
- Rescisão do contrato sem reembolso
- Comunicação a ANPD e/ou autoridades competentes (CFM, CRM, Procon, MP)
Violações menores recebem aviso por email com prazo para correção (5 dias úteis). Reincidência escala para a próxima categoria.